Bulletin d’actualité CERTFR-2025-ACT-010 – CERT-FR

28/05/2025 artia13 11 Views

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner
leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre
d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan
d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 10

Tableau récapitulatif :

Vulnérabilités critiques du 03/03/25 au 09/03/25

Editeur	Produit	Identifiant CVE	CVSS	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis Cert-FR	Avis éditeur
Elastic	Kibana	CVE-2024-25015	9.9	Exécution de code arbitraire à distance	05/03/2025	Pas d’information	CERTFR-2025-AVI-0178	https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441
Debian LTS	noyau linux	CVE-2024-50302	7.8	Non spécifié	05/03/2025	Exploitée	CERTFR-2025-AVI-0172	https://lists.debian.org/debian-lts-announce/2025/03/msg00002.html
Ubuntu	noyau linux	CVE-2024-50302	7.8	Non spécifié	05/03/2025	Exploitée	CERTFR-2025-AVI-0172	https://ubuntu.com/security/notices/USN-7310-1 https://ubuntu.com/security/notices/USN-7331-1 https://ubuntu.com/security/notices/USN-7294-3 https://ubuntu.com/security/notices/USN-7294-4
Google	Android	CVE-2024-50302	7.8	Non spécifié	05/03/2025	Exploitée	CERTFR-2025-AVI-0172	https://source.android.com/docs/security/bulletin/2025-03-01?hl=fr
Moxa	PT-508 Series,PT-510 Series, PT-7528 Series, PT-7728 Series, PT-7828 Series, PT-G503 Series, PT-G510 Series, PT-G7728 Series, PT-G7828 Series	CVE-2024-12297	9.2	Contournement de la politique de sécurité	06/03/2025	Pas d’information	CERTFR-2025-AVI-0181	https://www.moxa.com/en/support/product-support/security-advisory/mpsa-241408-cve-2024-12297-frontend-authorization-logic-disclosure-vulnerability-identified-in-pt-switches
Mozilla	Firefox, Thunderbird, Firefox ESR	CVE-2025-1932	9.8	Atteinte à la confidentialité des données	04/03/2025	Pas d’information	CERTFR-2025-AVI-0176	https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-17/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-18/ https://www.mozilla.org/en-US/security/advisories/mfsa2025-16/
Mozilla	Firefox	CVE-2025-1941	9.1	Contournement de la politique de sécurité	04/03/2025	Pas d’information	CERTFR-2025-AVI-0176	https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 : Multiples vulnérabilités dans VMware

Le 04 mars 2025, Broadcom a publié des correctifs de sécurité pour les trois vulnérabilités critiques CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226 qui affectent VMware ESXi, Workstation et Fusion. Elles permettent à un attaquant possédant les droits administrateur sur une machine virtuelle de prendre la main sur l’hôte.
Le CERT-FR a connaissance d’exploitations actives de ces vulnérabilités.
Les deux principaux scénarios d’attaque sont les suivants :

un attaquant externe qui arriverait à compromettre une machine virtuelle pourrait prendre le contrôle de l‘hôte ainsi que toutes les machines virtuelles hébergées sur la machine ;
un utilisateur malveillant qui est déjà administrateur pourrait obtenir le même résultat à moindre coût.

L’éditeur ne propose pas de mesure de contournement et indique que l’installation des correctifs est le seul moyen de se prémunir de cette menace. VMware a publié en complément des correctifs de sécurité pour ESXI v6.7, versions non maintenues.

Liens :

La mise à jour d’un produit ou d’un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d’effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l’application des mises à jour comme des correctifs ou des changements de version.

Autres vulnérabilités

Tableau récapitulatif :

Editeur	Produit	Identifiant CVE	Score CVSSv3	Type de vulnérabilité	Date de publication	Exploitabilité (Preuve de concept publique)	Avis éditeur
Cisco	Cisco Small Business RV016, RV042, RV042G, RV082, RV320 et RV325	CVE-2023-20118	7.2	Exécution de code arbitraire à distance	14/03/2023	Exploitée	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5
Microsoft	Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows 7, Windows 8.1, Windows RT 8.1.	CVE-2018-8639	7.8	Élévation de privilèges	11/12/2018	Exploitée	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8639
Progress	WhatsUp Gold	CVE-2024-4885	9.8	Exécution de code arbitraire à distance	25/06/2024	Exploitée	https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024
Hitachi	Vantara Pentaho Business Analytics Server	CVE-2022-43769	8.6	Exécution de code arbitraire à distance	20/08/2024	Exploitée	https://support.pentaho.com/hc/en-us/articles/14455561548301–Resolved-Pentaho-BA-Server-Failure-to-Sanitize-Special-Elements-into-a-Different-Plane-Special-Element-Injection-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43769
Hitachi	Vantara Pentaho Business Analytics Server	CVE-2022-43939	8.6	Exécution de code arbitraire à distance	25/06/2024	Exploitée	https://support.pentaho.com/hc/en-us/articles/14455394120333–Resolved-Pentaho-BA-Server-Use-of-Non-Canonical-URL-Paths-for-Authorization-Decisions-Versions-before-9-4-0-1-and-9-3-0-2-including-8-3-x-Impacted-CVE-2022-43939